=================================== __ /P▲ ◆ JPNIC News & Views vol.396【臨時号】2006.10.12 ◆ _/NIC =================================== ---------- PR -------------------------------------------------------- ┏━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━┓Internet Week 2006 ┃ネ┃ッ┃ト┃ワ┃ー┃ク┃技┃術┃者┃集┃結┃!┃ 2006/12/5 ~ 12/8 ┣━╋━╋━╋━╋━╋━╋━╋━┻━┻━┻━┻━┛ パシフィコ横浜 ┃登┃録┃受┃付┃開┃始┃!┃【事前登録は 2006年11月22日まで】 ┗━┻━┻━┻━┻━┻━┻━┛ http://internetweek.jp/ ---------------------------------------------------------------------- ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ◆ News & Views vol.396 です ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 本号では、vol.392、vol.393、vol.395に引き続き、第22回APNICオープンポリ シーミーティングでの議論のうち、APNICにおけるリソース証明書の動向につ いてお届けいたします。 □第22回APNICオープンポリシーミーティングレポート ○9月定期号:全体報告(vol.387) http://www.nic.ad.jp/ja/mailmagazine/backnumber/2006/vol387.html ○臨時号:IPv6における割り当てポリシーの変更について(vol.392) http://www.nic.ad.jp/ja/mailmagazine/backnumber/2006/vol392.html ○臨時号:マルチホームネットワークへのIPv6 PIアドレスの新設について (vol.393) http://www.nic.ad.jp/ja/mailmagazine/backnumber/2006/vol393.html ○臨時号:技術関連セッションレポート(vol.395) http://www.nic.ad.jp/ja/mailmagazine/backnumber/2006/vol395.html ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ◆APNICにおけるリソース証明書の動向 ~第22回APNICオープンポリシーミーティングでの議論~ JPNIC 技術部/インターネット推進部 木村泰司 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ APNICではリソース証明書と呼ばれる電子証明書を発行する仕組みを作るプロ ジェクトが進んでいます。このプロジェクトは2006年4月頃から始まった1年間 のプロジェクトで、2007年4月以降、APNIC会員に対する試験的なサービスを始 めることを目標に進められています。 本稿では、リソース証明書の概要を紹介するとともに、第22回APNICミーティ ングの参加を通じてわかってきた、プロジェクトの考え方と状況についてご報 告いたします。 ■リソース証明書とは リソース証明書は、IPアドレスとAS番号の利用権利を示す電子証明書です。 2004年6月に発行されたRFC3779(*1)でその構造が提案されました、インター ネットレジストリのIPアドレスの割り振り構造と同じツリー構造でPKI (Public-Key Infrastructure)の認証局を構築することで、利用されているIP アドレスとAS番号の正当性を保証するための仕組みです。リソース証明書の構 造を下図に示します。(わかりやすさのために一部単純化しています) IPアドレスブロック リソース証明書 +----------+ +-------+ IANA | | |IPAddr | IANA CA(?) +----------+ +-------+ ↓割り振り ↓証明書を発行 +------+ +-------+ RIR | | |IPAddr | RIR CA +------+ +-------+ ↓割り振り ↓証明書を発行 +--+ +-------+ NIR | | |IPAddr | NIR CA +--+ +-------+ ↓割り振り ↓証明書を発行 +-+ +-------+ LIR | | |IPAddr | LIR CA +-+ +-------+ ↓利用設定 ↓証明書を発行 +-+ +-------+ ISP | | |IPAddr | ISP CA +-+ +-------+ リソース証明書はアドレスの割り振り先に対して発行されます。証明書の発行 元はCA(Certification Authority)と呼ばれています。割り振り先がさらに割 り振りを行うとそこでもリソース証明書が発行されるので、割り振り先にはCA としての証明書が発行されることになります。上の図のIANA CAの部分は現在 の提案内容としては存在せず、RIRが頂点になる案が有力です。 証明書の書式には基本的にX.509v3の形式が使われ、IPAddr(IPアドレス)や ASIdentifier(AS番号)の値はX.509v3拡張フィールドと呼ばれる拡張のひとつ として証明書の中に記載されます。発行元のリソース証明書は、発行先のリ ソース証明書に記載されるアドレスブロックを、内包するようなアドレスブ ロックが記載されます。 この証明書は、ルーティングのセキュリティとアドレス資源管理のセキュリ ティに役立つと考えられています。ルーティング・セキュリティのための応用 として代表的なのがS-BGP(*2)です。S-BGPはBBNテクノロジー社のStephen Kent氏によって提案されたプロトコルで、ルーティングプロトコルのBGPを拡 張し、ルータ間で交換される経路情報の正当性を電子的に確認できるようにす るものです。 ■APNICにおけるリソース証明書プロジェクトの進捗状況 APNICではリソース証明書について以下のスケジュールが立てられています。 フェーズ1 (5/1-6/30) ・認証局の実装 ・リポジトリの実装 ・IETF SIDR WGへの提案 フェーズ2 (7/1-8/31) ・電子署名付き経路要求の作成 ・電子署名付きIRRオブジェクトの取り組み ・CP/CPS完了 フェーズ3 (9/1-12/1) ・LIR toolkit (の整備) ・RIR Portal webサービスツール (の整備) フェーズ1は7月上旬に行われた第66回IETFに向けた活動、フェーズ2は9月上旬 に行われた第22回APNICミーティングに向けた活動であることが読み取れます。 認証局の実装はRIPE NCCと共同で開発が進められており、既にフェーズ1の"認 証局の実装"と"リポジトリ"の実装が完了しているいることは、第66回IETFの 会期中に行ったJPNICとAPNICの打ち合わせの際に確認されています。 第22回APNICミーティングでは、オペレーター向けのセッションであるAPOPSで、 APNICのGeoff Huston氏によって進捗状況が報告されました。今回新しく発表 があったのは以下の4点です。 a. APNICのWebポータルで証明書発行サービスを提供すること b. LIRが証明書管理に利用できるツールの提供 c. IRRのrouteオブジェクトに対する電子署名 d. Webインターフェースを持つ電子署名ツール aは、AP地域のコミュニティに対して情報提供することでフェーズ3で取り組む Portal webでの実装に関する意見集約を開始したものと考えられます。b、c、 dについては実際の画面イメージが提示され、フェーズ2の実装が完了に近いこ とが示されました。ただし署名ツールの利用者をLIRの中のどの立場にするの か、その電子署名をどのように検証するのか、といった利用面での検討はまだ 進んでいないようです。 ■リソース証明書にかかわる課題 リソース証明書の実装は、RIPE NCCとAPNICを中心に順調に進められているよ うに見えます。しかしその背景には、証明書の発行だけでは解決できない大き な課題があります。私はその課題について第22回APNICのAPOPSのセッションで 発表して参りましたので(*3)、その内容を通じて紹介いたします。 一つはリソース証明書に入るアドレスブロックが運用に適するように調節でき ない問題です。リソース証明書に入るアドレスブロックはアドレスの割り振り 元によって決められます。しかしISPでは、割り振られたアドレスをさらに分 割し、ネットワークの接続先に応じて伝達される経路情報を切り替えるような 運用がしばしば行われます。従ってISPがリソース証明書に記載されるアドレ スブロックをあらかじめ選択できるようにしておく必要があります。そうでな いと、追加割り振りがあったような場合に、ルータに既に設定された多くの証 明書を一斉に入れ替える必要が出てきてしまいます。また逆に接続先に対して 不必要な経路の情報を、リソース証明書を通じて伝えてしまうことにもなりか ねません。 もう一つはISPにおけるリソース証明書の管理の煩雑さです。リソース証明書 が使われるようになると、ISPではルータと経路の管理の他にCAの管理を行う 必要が出てきます。CAはCA自身の暗号鍵の管理や証明書の失効処理といった複 雑な業務を必要とします。その上、アドレスの割り振りや返却といった処理は インターネットレジストリによって行われるため、ISPでその情報を基にした 証明書管理を行うことは、一部を自動化したとしても煩雑なものになると考え られます。 これらの課題に対して、私はIRRと外部RA(Registration Authority)の2つを使 う解決案のプレゼンテーションをいたしました。IRRはISPのルーティング・オ ペレーターによって登録情報の管理が行われています。IRRに登録されている routeオブジェクトを使ってリソース証明書の発行が行うことができれば、経 路制御のために都合のよい証明書の発行ができると考えられます。また外部RA と呼ばれている"証明書管理を行うユーザ"を設けることで、ISP自身が自分に 発行される証明書の申請管理を行うことができ、また同時にISPでCAのシステ ムを持たなくてすみます。 これらの課題と解決策は証明書管理に限定されたものですが、S-BGPの利用に はさらに大きな課題があります。それはルータにおけるリソース証明書の扱い です。経路情報を交換するたびに電子証明書を検証していたのでは経路を確定 するまでに時間がかかり過ぎてしまいます。またリソース証明書が完全に検証 できなかったからといって接続を切ってしまと、接続が切れやすいネットワー クができてしまうかもしれません。リソース証明書の検証のタイミングや検証 結果を経路情報にどのように反映すべきか、といった検討が必要です。 ■リソース証明書の今後 第22回APNICミーティングの発表を見る限り、APNICにおけるプロジェクトは順 調に進んでいます。このまま進んでいけばフェーズ3も無事終了し、2007年4月 にはAPNICのWebポータルであるMyAPNICで試験的に利用できるようになる可能 性があります。 一方、前述した課題をクリアするためには、インターネットレジストリとIRR の関係作りが重要になってくると考えられます。これまではIPアドレスの割り 振り構造であるインターネットレジストリとルーティング・オペレーターの信 頼構造の根拠となるIRRは分離しており、またそれが望ましいと考えられてき ました。インターネットレジストリが経路制御に関与しないという歴史的な状 況が守られてきた反面、ルータの設定における簡単なアドレスの打ち間違いが 他のネットワークの接続性を失わせてしまったり、本来割り振られていないア ドレスがIRRに登録されてしまい、アドレスが不正利用されてしまう可能性が ある状況になっています。 多くのルーティング・オペレーターに使われているRADB(*4)は、ARINと運営組 織が異なるだけでなく、インターネットレジストリと連動する仕組みを持って いません。ARINではPKIに関するワークショップを開くなどしていますが、リ ソース証明書の利用については未だ先が見えない状況です。 一方、RIPE NCCで運用されているRPSLベースのレジストリシステムはIRRとイ ンターネットレジストリが連携する仕組みを持っているようです。RIPE NCCの レジストリシステムは、IRRを兼ねているだけでなく、LIRがrouteオブジェク トを登録できるユーザを限定する機能を持っています。詳細については、今後 調査を進めていく予定ですが、リソース証明書の管理にこの仕組みが使われる と前述の課題は解決し、ルーティング・オペレーターにとって使いやすいリ ソース証明書ができることになります。RIPE NCCの2006年度の活動計画にある 電子証明書がどのような形で実装されていくのか、RIRの中で注目されると思 われます。 *1 X.509 Extensions for IP Addresses and AS Identifiers http://www.ietf.org/rfc/rfc3779.txt *2 Secure BGP Project (S-BGP) http://www.ir.bbn.com/projects/sbgp/ *3 Route Origination Authorization (ROA) with IRR http://www.apnic.net/meetings/22/program/apops-abstract.html#roa *4 RADB http://www.nic.ad.jp/ja/tech/glos-kz.html#03-radb ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ わからない用語については、【JPNIC用語集】をご参照ください。 http://www.nic.ad.jp/ja/tech/glossary.html ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ___________________________________ ■■■■■ JPNICの活動はJPNIC会員によって支えられています ■■■■■ ::::: 会員リスト ::::: http://www.nic.ad.jp/ja/member/list/ :::: 会員専用サイト :::: http://www.nic.ad.jp/member/(PASSWORD有) □┓ ━━━ N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□ ┗┛ お問い合わせは jpnic-news@nic.ad.jp まで ┗┛  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ =================================== JPNIC News & Views vol.396 【臨時号】 @ 発行 社団法人 日本ネットワークインフォメーションセンター 101-0047 東京都千代田区内神田2-3-4 国際興業神田ビル6F @ 問い合わせ先 jpnic-news@nic.ad.jp =================================== 登録・削除・変更 http://www.nic.ad.jp/ja/mailmagazine/ ■■◆ @ Japan Network Information Center ■■◆ @ http://www.nic.ad.jp/ ■■ Copyright(C), 2006 Japan Network Information Center